Diterbitkan: 16 Februari 2024
Kontributor: Annie Badman, Amber Forrest
Forensik digital adalah proses mengumpulkan dan menganalisis bukti digital dengan cara menjaga integritas dan penerimaannya di pengadilan.
Forensik digital adalah bidang ilmu forensik. Ini digunakan untuk menyelidiki kejahatan siber tetapi juga dapat membantu penyelidikan kriminal dan sipil. Misalnya, tim keamanan siber dapat menggunakan forensik digital untuk mengidentifikasi penjahat siber di balik serangan malware, sementara lembaga penegak hukum dapat menggunakannya untuk menganalisis data dari perangkat tersangka pembunuhan.
Forensik digital memiliki penerapan yang luas karena memperlakukan bukti digital seperti bentuk bukti lainnya. Sama seperti petugas yang menggunakan proses khusus untuk mengumpulkan bukti fisik dari tempat kejadian perkara, penyelidik forensik digital mengikuti proses forensik yang ketat (juga dikenal sebagai lacak balak) saat menangani bukti digital untuk menghindari gangguan.
Forensik digital dan forensik komputer sering disebut secara bergantian. Namun, forensik digital secara teknis melibatkan pengumpulan bukti dari perangkat digital apa apa pun, sedangkan forensik komputer melibatkan pengumpulan bukti secara khusus dari perangkat komputasi, seperti komputer, tablet, ponsel, dan perangkat dengan CPU.
Forensik digital dan respons insiden (DFIR) adalah disiplin keamanan siber baru yang mengintegrasikan forensik komputer dan aktivitas respons insiden untuk mempercepat remediasi ancaman siber sekaligus memastikan bahwa bukti digital terkait tidak disusupi.
Forensik digital, atau ilmu forensik digital, pertama kali muncul pada awal tahun 1980-an dengan munculnya komputer pribadi dan menjadi terkenal pada tahun 1990-an.
Namun, baru pada awal abad ke-21, negara-negara seperti Amerika Serikat meresmikan kebijakan forensik digital mereka. Pergeseran ke arah standarisasi diakibatkan oleh meningkatnya kejahatan komputer di tahun 2000-an dan desentralisasi nasional lembaga penegak hukum.
Dengan semakin banyaknya kejahatan yang melibatkan perangkat digital, dan semakin banyak orang yang terlibat dalam penuntutan kejahatan tersebut, para pejabat membutuhkan prosedur untuk memastikan investigasi kriminal menangani bukti digital dengan cara yang dapat diterima di pengadilan.
Saat ini, forensik digital menjadi lebih relevan. Untuk memahami alasannya, pertimbangkan banyaknya data digital yang tersedia pada hampir semua orang dan segalanya.
Seiring dengan semakin meningkatnya ketergantungan masyarakat terhadap sistem komputer dan teknologi komputasi cloud, individu terus melakukan lebih banyak aktivitas online di berbagai perangkat, termasuk ponsel, tablet, perangkat IoT, perangkat yang terhubung, dan masih banyak lagi.
Hasilnya adalah lebih banyak data, dari lebih banyak sumber dalam lebih banyak format daripada sebelumnya, yang dapat digunakan oleh para penyelidik sebagai bukti digital untuk menganalisis dan memahami berbagai aktivitas kriminal yang semakin meningkat, termasuk serangan siber, pembobolan data, dan investigasi kriminal serta perdata.
Selain itu, seperti halnya semua bukti, baik fisik maupun digital, para penyelidik dan lembaga penegak hukum harus mengumpulkan, menangani, menganalisis, dan menyimpannya dengan benar. Jika tidak, data dapat hilang, dirusak, atau dianggap tidak dapat diterima di pengadilan.
Pakar forensik bertanggung jawab untuk melakukan investigasi forensik digital, dan seiring dengan meningkatnya permintaan di bidang ini, begitu pula dengan peluang kerja. Biro Statistik Tenaga Kerja memperkirakan lowongan pekerjaan forensik komputer akan meningkat 31 persen hingga tahun 2029 (tautan berada di luar ibm.com).
Institut Standar dan Teknologi Nasional (NIST) (tautan berada di luar ibm.com) menguraikan empat langkah untuk penyelidikan forensik digital.
Langkah-langkah ini meliputi:
Mengidentifikasi perangkat digital atau media penyimpanan yang berisi data, metadata atau informasi digital lainnya yang relevan dengan penyelidikan forensik digital.
Untuk kasus-kasus kriminal, lembaga penegak hukum akan menyita barang bukti dari tempat kejadian perkara untuk memastikan adanya lacak balak yang ketat.
Untuk menjaga integritas bukti, tim forensik membuat duplikat forensik data menggunakan duplikator hard drive atau alat pencitraan forensik.
Setelah proses duplikasi, mereka mengamankan data asli dan melakukan penyelidikan selanjutnya terhadap salinannya untuk menghindari gangguan.
Penyelidik menyisir data dan metadata untuk tanda-tanda aktivitas kejahatan siber.
Pemeriksa forensik dapat memulihkan data digital dari berbagai sumber, termasuk riwayat peramban web, log obrolan, perangkat penyimpanan jarak jauh, ruang yang terhapus, ruang disk yang dapat diakses, cache sistem operasi, dan hampir semua bagian lain dari sistem terkomputerisasi.
Analis forensik menggunakan metodologi dan alat forensik digital yang berbeda untuk mengekstrak data dan insight dari bukti digital.
Misalnya, untuk mengungkap "data atau metadata" yang tersembunyi, mereka dapat menggunakan teknik forensik khusus, seperti analisis langsung, yang mengevaluasi sistem yang masih berjalan untuk data yang mudah berubah, atau steganografi terbalik, yang mengekspos data yang disembunyikan dengan menggunakan steganografi (sebuah metode untuk menyembunyikan informasi sensitif di dalam pesan yang terlihat biasa).
Penyelidik juga dapat merujuk pada alat berpemilik dan sumber terbuka untuk menghubungkan temuan dengan pelaku ancaman tertentu.
Setelah penyelidikan selesai, pakar forensik membuat laporan resmi yang menguraikan analisis mereka, termasuk apa yang terjadi dan siapa yang mungkin bertanggung jawab.
Laporan bervariasi menurut kasus. Untuk kejahatan siber, mereka mungkin memiliki rekomendasi untuk memperbaiki kerentanan untuk mencegah serangan siber di masa depan. Laporan juga sering digunakan untuk menyajikan bukti digital di pengadilan dan dibagikan kepada lembaga penegak hukum, asuransi, regulator, dan pihak berwenang lainnya.
Ketika forensik digital muncul pada awal tahun 1980-an, ada beberapa alat forensik digital formal. Sebagian besar tim forensik mengandalkan analisis langsung, sebuah praktik yang terkenal rumit dan memiliki risiko gangguan yang signifikan.
Pada akhir tahun 1990-an, meningkatnya permintaan bukti digital mendorong pengembangan alat yang lebih canggih seperti EnCase dan FTK, yang memungkinkan analis forensik untuk memeriksa salinan media digital tanpa harus melakukan forensik langsung.
Saat ini, para pakar forensik menggunakan berbagai alat forensik digital. Alat-alat ini dapat berbasis perangkat keras atau perangkat lunak dan menganalisis sumber data tanpa merusak data. Contoh umum termasuk alat analisis file, yang mengekstrak dan menganalisis file individual, dan alat registri, yang mengumpulkan informasi dari sistem komputasi berbasis Windows yang membuat katalog aktivitas pengguna dalam registri.
Penyedia tertentu juga menawarkan alat sumber terbuka khusus untuk tujuan forensik tertentu — dengan platform komersial, seperti Encase dan CAINE, menawarkan fungsi dan kemampuan pelaporan yang komprehensif. CAINE, khususnya, menawarkan seluruh distribusi Linux yang disesuaikan dengan kebutuhan tim forensik.
Forensik digital berisi cabang diskrit berdasarkan sumber data forensik yang berbeda.
Beberapa cabang forensik digital yang paling populer meliputi:
- Forensik komputer (atau forensik siber): Menggabungkan ilmu komputer dan forensik hukum untuk mengumpulkan bukti digital dari perangkat komputasi.
- Forensik perangkat seluler: Menyelidiki dan mengevaluasi bukti digital pada ponsel cerdas, tablet, dan perangkat seluler lainnya.
- Forensik database: Memeriksa dan menganalisis database dan metadata terkait untuk mengungkap bukti kejahatan siber atau pelanggaran data.
- Forensik jaringan: Memantau dan menganalisis data yang ditemukan dalam lalu lintas jaringan komputer, termasuk penelusuran web dan komunikasi antar perangkat.
- Forensik sistem file: Memeriksa data yang ditemukan dalam file dan folder yang disimpan di perangkat titik akhir seperti desktop, laptop, ponsel, dan server.
- Forensik memori: Menganalisis data digital yang ditemukan dalam memori akses acak (RAM) perangkat.
Ketika forensik komputer dan respons insiden, deteksi dan mitigasi serangan siber yang sedang berlangsung, dilakukan secara terpisah, mereka dapat saling mengganggu dan berdampak negatif bagi organisasi.
Tim tanggap insiden dapat mengubah atau menghancurkan bukti digital sekaligus menghapus ancaman dari jaringan. Penyelidik forensik dapat menunda penyelesaian ancaman sementara mereka memburu dan menangkap bukti.
Forensik digital dan respons insiden, atau DFIR, menggabungkan forensik komputer dan respons insiden ke dalam alur kerja terintegrasi yang dapat membantu tim keamanan informasi menghentikan ancaman siber dengan lebih cepat sekaligus menjaga bukti digital yang mungkin hilang dalam urgensi mitigasi ancaman.
Ada 2 manfaat utama dari DFIR, yaitu:
- Pengumpulan data forensik terjadi bersamaan dengan mitigasi ancaman: Penanggap insiden menggunakan teknik forensik komputer untuk mengumpulkan dan menyimpan data selagi mereka menangani dan memberantas ancaman, memastikan rantai lacak balak yang tepat diikuti dan bukti berharga tidak diubah atau dihancurkan.
- Tinjauan pasca-insiden mencakup pemeriksaan bukti digital: Selain menyimpan bukti untuk tindakan hukum, tim DFIR menggunakannya untuk merekonstruksi insiden keamanan siber dari awal hingga akhir untuk mempelajari apa yang terjadi, bagaimana hal itu terjadi, tingkat kerusakan, dan bagaimana serangan serupa dapat dihindari.
DFIR dapat menghasilkan mitigasi ancaman yang lebih cepat, pemulihan ancaman yang lebih kuat, dan bukti yang lebih baik untuk menyelidiki kasus kriminal, kejahatan siber, klaim asuransi, dan insiden keamanan lainnya.
DFIR menggabungkan dua bidang keamanan siber untuk merampingkan respons terhadap ancaman sekaligus menjaga bukti terhadap penjahat siber.
Forensik komputer melibatkan pengumpulan bukti digital dari perangkat komputasi untuk memastikan diterimanya bukti tersebut di pengadilan.